Libertà o sicurezza? Questo è il dilemma
Quache giorno fa, il responsabile del progetto Android Sundar Pichai, ha rilasciato un’intervista al sito francese Frandroid, facendo questa dichiarazione: “We do not guarantee that Android is designed to be safe; its format was designed to give more freedom. When they talk about 90% of malicious programs for Android, they must of course take into account the fact that it is the most used operating system in the world. If I had a company dedicated to malware, I would also send my attacks to Android.”, in italiano: “Non garantiamo che Android sia progettato per essere sicuro; il suo format è stato progettato per dare maggiore libertà. Quando si parla del fatto che il 90% dei malware siano diretti ad Android, occorre tenere in considerazione che è il sistema operativo più utilizzato al mondo. Se avessi un’azienda dedita a creare malware, avrei anche io come target Android”.
Ammetto che queste dichiarazioni mi hanno abbastanza irritato ma in qualche modo trovano nei fatti un riscontro abbastanza palese. Vediamo perchè:
1 – Android è stato progettato per essere libero, non sicuro. Con questa affermazione Sundar fa il gioco di coloro che da anni considerano il software open source un colabrodo per la sicurezza. Esempi che smentiscono tali sciocchezze ce ne sono centinaia (Apache, GPG, OpenBSD, alcune distribuzioni Linux, il kernel di MacOSX, ecc..) ma principalmente il principio cardine dovrebbe essere questo: il software open source lascia all’utente e all’amministratore di sistema la possibilità di adoperarsi attivamente per proteggere la propria sicurezza mentre chi sceglie soluzioni closed source sceglie di affidarsi esclusivamente alle capacità degli sviluppatori della casa creatrice del software. Ma in questo caso il principio appena enunciato non basta ad Android proprio per precisa volontà di Google.
Android è open source (nei limiti descritti e analizzati QUI) ma soffre di un problema che ne peggiora notevolmente la sicurezza: LA FRAMMENTAZIONE (per chi non lo sapesse per frammentazione si intende la eccessiva eterogeneità di versioni di Android presenti sui terminali attualmente in commercio).
Stando agli ultimi dati di Google circa il 37% dei device attivi montano versioni di Android risalenti a circa due anni fa (grazie anche a Samsung, LG e compagnia bella): Ice Cream Sandwich (2011/2012), Gingerbread (2010/2011), Froyo (2010/2011), mentre solo l’1,8% dei device risultano già aggiornati a KitKat – rilasciato a novembre 2013 e che proprio in questi giorni sta vedendo la sua diffusione su molti device, questo dato dovrebbe quindi crescere sensibilmente a breve.
Il problema però non è solo per una questione di numeri. Vediamo il prossimo grafico (presente nel report annuale sulla sicurezza distribuito da Cisco)
Android è vittima del 71% dei malware per dispositivi mobile e gran parte di questi attacchi sono proprio permessi dall’eccessiva frammentazione. Il 98% di tale minacce infatti sono relative a falle non più presenti nell’ultima versione di Android.
Sappiamo però che i device con versioni obsolete di Android non verranno mai aggiornati per precise politiche commerciali delle case produttrici di devices e quindi resteranno per sempre vulnerabili ad attacchi di sicurezza.
La domanda quindi sorge spontanea ed è: Google perchè non obblighi te stessa, Samsung, LG, HTC, ecc… a rilasciare almeno gli aggiornamenti per la sicurezza su tutte le versioni di Android messe in commercio (come invece fanno Apple e MS per i propri SO)? Basterebbero delle semplici patch per limitare notevolmente tali problemi.
Il problema non si risolverà nemmeno quando tutti i device saranno aggiornati a KitKat perchè nel frattempo usciranno nuove versioni e l’interruzione totale del supporto delle versioni meno recenti (Jelly Bean su tutti) causerà il medesimo problema di sicurezza.
La mancata volontà di Google e i suoi amici conferma quanto detto da Pichai: Android non è progettato per essere sicuro perchè Google non vuole risolvere a monte i problemi di frammentazione (ben vengano le policy di certificazione dei nuovi device o i controlli sulla installazione delle app ma questo a mio avviso non basta per sconfiggere i problemi legati alla sicurezza).
2 – Android è come Windows: talmente diffuso che lo attaccherei anche io. Qui Sundar Pichai gioca facile facendo anche del revisionismo storico. Windows ha creato un intero mercato sulla sua mancanza di sicurezza, mercato florido e legittimato dai fatti fino a quando proprio Linux (soprattutto lato server) e poi MacOSX (basato su Unix anch’esso) han spezzato l’incantesimo dell’ineluttabilità degli attacchi malware. Ma in questo caso è stato proprio il mondo open source (almeno nella parte Linux e Darwin) a smentire quello closed di Redmond, confermando dunque quanto ho affermato al punto 1.
Anche questo punto ci porta a dare ragione a Pichai: Android non è progettato per essere sicuro.
Sinceramente non ci sto: la causa di tutto questo non può essere la libertà e l’apertura del software, bensì la precisa mancanza di volontà di chi lo sta progettando. Quindi caro Sundar Pichai se Android non è sicuro è solo per volontà di Google e dell’Open Handset Alliance.